Spring Security使用总结

置顶 已于 2024-05-29 16:50:45 修改
阅读量759 收藏 22
点赞数 18
文章标签: spring java 后端
于 2024-05-29 16:41:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29842629/article/details/139299841
版权

Spring Security使用总结

文章目录

[!NOTE]

本文只是作为作者笔记,只作为自己参考加深映像,小伙伴觉得哪里不对可以指出改正😁

使用版本

spring-boot-starter-security: 2.3.12.RELEASE

spring-security-config: 5.3.9.RELEASE

具体可以参考maven仓库里进行查询版本对应关系

首先我们都知道Spring Security两大重要特性 认证(authentication)授权(authorization)

如果你想灵活应用Spring Security框架,首先我们需要了解架构结构

[!NOTE]

这里我并没有做高版本使用,因为使用超过6.2.0版本需要升级Spring Boot,升级后果就会就是需要更高的JDK,我是用的JDK8(为啥不升级因为大部分公司用的基本上都是JDK8版本我就不特立独行了😂)

FilterChainProxy回顾

我们知道Spring Security认证是基于过滤器来完成的,Spring 给我们提供了DelegatingFilterProxy,可以通过标准的Servlet容器机制来注册DelegatingFilterProxy

image-20240529140221617

FilterChainProxy是 Spring Security 提供的一个特殊的 Filter,允许通过SecurityFilterChain委托给许多 Filter 实例。由于 FilterChainProxy 是一个Bean,它通常被包裹在DelegatingFilterProxy 中。

image-20240529140634248

我们可以看下FilterChainProxy源码

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
			try {
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
				doFilterInternal(request, response, chain);
			}
			finally {
				SecurityContextHolder.clearContext();
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
            //通过不同FilterChain调用不同Filter#doFilter
			doFilterInternal(request, response, chain);
		}
	}

	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

SecurityFilterChain作用

SecurityFilterChain被 FilterChainProxy用来确定当前请求应该调用哪些 Spring Security Filter 实例。如图

image-20240529145054161

SecurityFilterChain中的[Security Filter](#Security Filter)通常是Bean,但它们是用 FilterChainProxy 而不是 DelegatingFilterProxy 注册的。

Security Filter

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(Customizer.withDefaults())
            .authorizeHttpRequests(authorize -> authorize
                .anyRequest().authenticated()
            )
            .httpBasic(Customizer.withDefaults())
            .formLogin(Customizer.withDefaults());
        return http.build();
    }

}

Security Filter我们最常用的Filter

Filter
CsrfFilterHttpSecurity#csrf
UsernamePasswordAuthenticationFilterHttpSecurity#formLogin
BasicAuthenticationFilterHttpSecurity#httpBasic
AuthorizationFilterHttpSecurity#authorizeHttpRequests
  1. 首先,调用 CsrfFilter 来防止 CSRF 攻击
  2. 其次,认证 filter 被调用以认证请求。
  3. 第三,调用 AuthorizationFilter 来授权该请求。

添加自定义 Filter 到 Filter Chain

自定义Filter不需要通过实现Filter接口来实现我们可以通过OncePerRequestFilter中继承,这是一个基类,用于每个请求只调用一次的 filter,并提供一个带有 HttpServletRequestHttpServletResponse 参数的 doFilterInternal 方法。

例如:

public class TenantFilter extends OncePerRequestFilter {
	 @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //逻辑处理
    }
}
//方法一 当前方法适用与高版(至少在6.2.0以上)本Spring Security比不支持我当前版本
@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        // ...
        .addFilterBefore(new TenantFilter(), AuthorizationFilter.class);
    return http.build();
}
/*
方法二
或者继承WebSecurityConfigurerAdapter类实现
*/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        // ...
        .addFilterBefore(new TenantFilter(), AuthorizationFilter.class);
    }
}

这里有个小插曲

我们可以使用@Component注入我们的TenantFilter或者通过@Bean方式进行注入,官网说可能会出现注入两次问题,一次是Spring Bean依赖注入,一次是Spring Security依赖注入,不过这个问题不大如果你实在在意注入多次情况官网提供了解决方案

@Bean
public FilterRegistrationBean<TenantFilter> tenantFilterRegistration(TenantFilter filter) {
    FilterRegistrationBean<TenantFilter> registration = new FilterRegistrationBean<>(filter);
    registration.setEnabled(false);
    return registration;
}

处理 Security 异常

ExceptionTranslationFilter 是一种在 Java 的 Spring 框架中使用的过滤器,通常用于处理异常并将它们转换为合适的响应,以便更好地控制错误处理和日志记录。具体来说,ExceptionTranslationFilter 常用于 Spring Security 框架中,来处理与安全相关的异常。

这里有连个非常重要异常一个是AccessDeniedException(认证对象没有所属权限会抛出)另一个是AuthenticationException(没有权限),捕获到异常后,ExceptionTranslationFilter 会将这些异常转换为适当的 HTTP 响应码。例如,AccessDeniedException 通常会被转换为 403 Forbidden 响应,而 AuthenticationException 会被转换为 401 Unauthorized 响应。

简单来说就是AuthenticationException 异常表示用户未通过身份验证,通常在用户未登录或提供的凭证无效时抛出。例如,当用户尝试访问需要认证的资源但未提供有效的用户名和密码时,会抛出此异常。AccessDeniedException 异常表示用户已通过身份验证但没有访问某资源所需的权限。换句话说,用户是已认证的,但他们不具有访问该资源的适当授权。

image-20240529162645546

1. 执行过滤链

首先,ExceptionTranslationFilter 会调用 FilterChain.doFilter(request, response) 来执行过滤链中的其他过滤器和目标资源。这一步确保请求能够正常传递到应用程序的其他部分:

2. 处理 AuthenticationException

如果在过滤链的其他部分或目标资源中抛出了 AuthenticationException 异常,说明用户未认证或认证失败。在这种情况下,ExceptionTranslationFilter 会执行以下步骤:

a. 清除 SecurityContextHolder

在处理认证异常之前,ExceptionTranslationFilter 会清除 SecurityContextHolder 中的安全上下文,以确保当前线程没有残留的认证信息:

SecurityContextHolder.clearContext();
b. 保存原始请求

为了在用户成功认证后能够重放原始请求,ExceptionTranslationFilter 会将当前的 HttpServletRequest 保存起来:

c. 使用 AuthenticationEntryPoint 请求凭证

ExceptionTranslationFilter 使用 AuthenticationEntryPoint 来请求客户端提供凭证。例如,可以将用户重定向到登录页面或发送 WWW-Authenticate 头以提示用户进行认证:

authenticationEntryPoint.commence(request, response, authException);

3. 处理 AccessDeniedException

如果在过滤链的其他部分或目标资源中抛出了 AccessDeniedException 异常,说明用户没有足够的权限访问请求的资源。在这种情况下,ExceptionTranslationFilter 会执行以下步骤:

a. 调用 AccessDeniedHandler

ExceptionTranslationFilter 使用 AccessDeniedHandler 来处理访问被拒绝的情况。AccessDeniedHandler 通常会返回一个 403 Forbidden 响应,或者显示一个错误页面:

accessDeniedHandler.handle(request, response, accessDeniedException);

简化流

Request -> ExceptionTranslationFilter -> FilterChain.doFilter() -> 可能的异常 -> 异常处理
| | -> 正常执行目标资源
|
| -> AuthenticationException -> 清除 SecurityContextHolder -> 保存请求 -> 使用 AuthenticationEntryPoint 请求凭证
|
| -> AccessDeniedException -> 调用 AccessDeniedHandler 处理访问被拒绝

总结

我们关注点可以不在乎流程是怎么样,更关注如何使用,大致Spring Security流程,SecurityFilterChain添加流程是怎么走下去的,至少在问题排查可以帮助我们

后续接着聊😁
er -> 保存请求 -> 使用 AuthenticationEntryPoint 请求凭证
|
| -> AccessDeniedException -> 调用 AccessDeniedHandler 处理访问被拒绝

总结

我们关注点可以不在乎流程是怎么样,更关注如何使用,大致Spring Security流程,SecurityFilterChain添加流程是怎么走下去的,至少在问题排查可以帮助我们

后续接着聊😁

香瓜蛋
关注
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
fudaihb的博客
05-18 1456
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring security3 中文版本
10-17
spring security3 中文版本
Spring Security】基于SpringBoot3.3.4版本整合JWT的使用教程
最新发布
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-02 1489
Spring Boot框架版本在持续迭代中,Spring相关组件也在不断更新,JDK版本的发布频率也更加的频繁。做为一名持续学习的开发者,紧跟技术时代潮流,持续学习新技术,持续更新自己的技能储备,是往前冲锋的必备能力和品质。希望大家跟我一样,保持对技术的渴望,保持学习的激情,一起努力吧。 JWT也是现在前后端分离主流的身份认证载体,在本文中,我们会循序渐进从Spring Boot框架起步,一步步整合JWT,使用RSA公钥、私钥对JWT进行签名和验签,一点点揭开Spring Security的神秘面纱。
spring-boot-starter-security的简单使用
python15397的博客
04-03 1万+
spring-boot-starter-security的简单使用
Spring Security发行版本号
springsecurity教程
09-18 3035
了解spring Security发行版本号是非常有用的。它可以帮助你判断升级到新的版本是否需要花费很大的精力。 我们使用apache便携式运行项目版本指南,可以在以下网址查看http://apr.apache.org/versioning.html。 为了方便大家,我们引用页面上的一段介绍: “版本号是一个包含三个整数的组合:主要版本号.次要版本号.补丁。 基本思路是主要版本是不兼容的,大规模
新版SpringSecurity5.x使用与配置
Alphamilk的博客
07-21 2156
了解SpringSecurity,并进行简单使用与配置
SpringSecuritySpringBoot2.X版本实现)
学习总结
03-13 1201
Spring Security 是一个功能强大且灵活的身份验证和访问控制框架,用于保护基于 Java 的企业应用程序。它提供了全面的安全解决方案,包括身份认证、授权、攻击防范、会话管理等功能,可以帮助开发者构建安全可靠的应用程序。身份认证(Authentication):Spring Security 支持多种身份认证方式,包括基于表单、HTTP 基本认证、HTTP Digest 认证、OpenID、OAuth 等。开发者可以根据应用程序的需求选择合适的认证方式。授权(Authorization)
springsecuritySpring安全学习总结
01-29
Spring安全学习总结 ...spring security 学习总结总结是逐步进行重建的,逐步版本我都使用了git tag来管理。例如,最开始的tag是step1 ,那么可以使用 git checkout step1 来获得这一版本。版本历史见 。
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
Spring Security详细介绍及使用含完整代码(值得珍藏)
02-08
### Spring Security详细介绍及使用 #### 一、Spring Security概述 Spring Security是一款强大的安全框架,它专为基于Spring的企业级应用提供了声明式安全访问控制。该框架利用Spring框架的核心功能,如IoC...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链的机制和特性可以总结为以下几点: * Spring Security 的 FilterChainProxy 可以代理多条过滤器链,并根据不同的 URI 匹配策略进行分发。 * 每个请求每次只能被分发到一条过滤器链。 * 每...
SpringSecurity
m0_74246237的博客
02-01 2119
spring security学习
spring security历史版本下载
weixin_34355559的博客
03-20 264
2019独角兽企业重金招聘Python工程师标准>>> ...
升级Spring Security版本
pany_2017的博客
08-29 3076
Spring Security版本升级方法,及升级后出现的版本不兼容报错的解决办法
快速学习springsecurity最新版 (版本6.2)---用户认证
qq_55272229的博客
02-21 2978
​是 Spring 家族中的一个安全管理框架。目前比较主流的是另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富,但是shiro并不简便,这里轻量级安全框架更推荐国产安全框架satokensatoken官网​ 一般大型的项目都是使用来做安全框架。这些安全框架主要的内容包含以下功能模块​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户比如:购买东西前需要登录 ,预约前需要登录认证个人信息​。
springboot整合spring security使用
机智的爆爆哥
12-09 248
文章目录1.项目准备2.实现自定义登录失败跳转前后端分离的问题 1.项目准备 pom 这里使用的是springboot2.2.11.RELEASE <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </d
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
weixin_42907150的博客
01-26 1426
Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
新旧版本SpringSecurity使用对比
上善若泪
05-31 2340
文章目录1 SpringSecurity新旧版本使用1.1 基本使用1.1.1 升级版本1.1.2 旧用法1.1.3 新用法1.2 高级使用1.2.1 基于方法的动态权限1.2.2 基于路径的动态权限1.3 效果测试 1 SpringSecurity新旧版本使用 前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了,今天带大家体验下Spring Security的最新用法
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值